CIS CONTROLS #01 Inventario y Control de Activos de Hardware

Por /

\"\"

El Control 1 de CIS (Center for Internet Security) corresponde al “Inventario y Control de Activos\”. Es el primer control dentro del marco de CIS Controls, que es una lista de mejores prácticas en seguridad de la información, también muy critico por ser uno de los cinco controles denominados como Ciberhigiene, que son los controles básicos que toda organización debe implementar.

 

El Control 1 establece la importancia de tener un inventario completo y preciso de todos los activos de tecnología de la información (TI) en una organización. Esto incluye el hardware, software, dispositivos de red, sistemas críticos y cualquier otro componente relacionado con la infraestructura tecnológica de la organización.

 

A continuación, te explicamos por qué el Control 1 es importante que deba ser implementado en tu organización:

 

  1. Visibilidad y gestión: Un inventario de activos te proporcionara una visibilidad clara de los sistemas y dispositivos utilizados en tu organización. Esto permite una gestión más efectiva de los recursos de TI, incluyendo el seguimiento de la propiedad, ubicación física, configuraciones y software instalado. Además, ayuda a evitar la presencia de activos desconocidos o no autorizados en la red.
  1. Evaluación de riesgos: Conocer todos los activos de TI es fundamental para evaluar los riesgos de seguridad. Permite identificar posibles vulnerabilidades, configuraciones incorrectas o desactualizadas, software no parcheado y otros aspectos que pueden ser explotados por atacantes. Esta información es crucial para establecer medidas de seguridad adecuadas y priorizar acciones para mitigar los riesgos identificados.
  1. Respuesta a incidentes: En caso de un incidente de seguridad, un inventario actualizado facilita una respuesta más rápida y efectiva. Permite identificar qué sistemas o dispositivos podrían haberse visto afectados, qué datos o servicios podrían estar en riesgo y qué medidas correctivas deben aplicarse. Sin un inventario, la respuesta a un incidente puede ser más lenta y menos precisa.
  1. Cumplimiento normativo: Muchas regulaciones y estándares de seguridad, como el cumplimiento de la Ley de Protección de Datos que hace poco tiempo fue renovada como ley en Chile o los requisitos de PCI DSS (Payment Card Industry Data Security Standard), exigen tener un inventario de activos como parte de las medidas de seguridad requeridas. Cumplir con estas normativas es esencial para evitar sanciones legales y proteger la reputación de la organización.

Como implementar el control 1 de CIS CONTROLS

 

Implementar el Control 1 de CIS (Center for Internet Security) requiere seguir una serie de pasos y mejores prácticas. Aquí tienes una guía básica para implementar este control:

 

  1. Identifica y documenta todos los activos de TI: Realiza un inventario completo de todos los activos de tecnología de la información en tu organización, incluyendo hardware, software, dispositivos de red y sistemas críticos. Registra información relevante como la ubicación física, propietario, versión de software y cualquier otra característica importante de cada activo.
  1. Establece un proceso de gestión de activos: Implementa un proceso formal para gestionar los activos de TI a lo largo de su ciclo de vida. Esto puede incluir la asignación de responsabilidades claras, definición de roles y flujos de trabajo para el alta, baja y cambios en los activos. Asegúrate de mantener el inventario actualizado de manera regular.
  1. Utiliza herramientas de inventario: Considera el uso de herramientas automatizadas de inventario y descubrimiento de activos. Estas herramientas pueden escanear tu red y recopilar información sobre los dispositivos y sistemas conectados, facilitando el proceso de inventario y manteniendo los registros actualizados de manera más eficiente.
  1. Clasifica los activos: Clasifica los activos según su importancia y criticidad para tu organización. Esto te ayudará a priorizar los esfuerzos de seguridad y asignar recursos adecuados. Puedes utilizar criterios como el valor de los activos, su impacto en las operaciones o la confidencialidad de la información que manejan.
  1. Implementa controles de acceso: Establece controles de acceso adecuados para los activos de TI. Asegúrate de que solo las personas autorizadas tengan acceso a los activos y define políticas de acceso basadas en roles y privilegios. Considera la implementación de autenticación multifactor (MFA) para agregar una capa adicional de seguridad.
  1. Realiza auditorías de seguridad: Realiza auditorías periódicas de seguridad para verificar y validar la exactitud de tu inventario de activos. Estas auditorías te permitirán identificar activos no autorizados, dispositivos no gestionados o configuraciones incorrectas.
  1. Mantén el inventario actualizado: El inventario de activos debe mantenerse actualizado a medida que se produzcan cambios en la infraestructura de TI de tu organización. Esto incluye nuevas adquisiciones, actualizaciones, bajas y cualquier otro cambio relevante. Mantén un proceso continuo de actualización y revisión del inventario.

 

Recuerda que estos son solo pasos generales para implementar el Control 1 de CIS. Cada organización puede tener necesidades y consideraciones específicas. En caso de requerir ayuda, no dudes en tomar contactos con nosotros, en Virtual Secure tenemos asesores especialistas, herramientas y softwares para hacer que esta tarea sea más ligera para ti y tu organización.

 

contacto

  • Av. Providencia 1939, Of 31-B. Providencia, Santiago.
  • Móvil: +56 9 96691453
  • Fono: +56 2 3255 8736
  • info@virtualsecure.cl

Suscríbete

¿Quieres enterarte de todas nuestras noticias?

Scroll al inicio